Fortinet最新發(fā)布的《全球威脅態(tài)勢研究報告》匯聚了FortiGuard Labs實驗室的集體智慧。其分析研究所采用的威脅數(shù)據(jù)源自Fortinet傳感器在全球范圍內捕獲的數(shù)十億個威脅事件。本次報告基于MITRE ATT&CK框架中的前期偵察、資源開發(fā)和初始訪問前三組戰(zhàn)略，將對手戰(zhàn)術和技術進行分類，以描述攻擊者如何搜尋漏洞、如何建立惡意架構以及如何利用攻擊目標發(fā)動攻擊。

　　該研究報告還特別采用全球和地區(qū)雙視角展望未來的安全挑戰(zhàn)，為安全專業(yè)人員提供廣泛而具體的威脅態(tài)勢現(xiàn)狀分析，旨在幫助他們做出降低安全風險，并更好地防護和維護其關鍵數(shù)字資源的重要決策�？偨Y來看，愈演愈烈的全球威脅呈現(xiàn)以下五大趨勢。

　　Log4j事件預示著全球企業(yè)組織正面臨漏洞攻擊飛速增長的空前局勢。2021年底全球爆發(fā)的Log4j漏洞攻擊事件表明，網(wǎng)絡犯罪分子大肆利用漏洞發(fā)起攻擊的速度較以往更加迅猛。12月中旬，該安全漏洞的攻擊數(shù)量飛速攀升，僅不到一個月，便躍居2021年下半年IPS最熱門的檢測目標。此外，與2021年初爆發(fā)且眾所周知的ProxyLogon漏洞事件相比，Log4j攻擊的活躍數(shù)高達50倍之多。面對如此駭人的攻擊數(shù)量，加之網(wǎng)絡犯罪分子不斷處心積慮搜尋新的攻擊目標，全球企業(yè)組織對此毫無招架之力，無法及時響應或修補。

　　網(wǎng)絡犯罪分子快速瞄準攻擊面新載體。未來，一些看似不起眼的安全威脅可能釋放出巨大的破壞力，這一點應引起持續(xù)關注。例如，近期出現(xiàn)的新型惡意軟件利用Linux系統(tǒng)漏洞，通過可執(zhí)行和可鏈接二進制文件格式（ELF）發(fā)起攻擊。由于Linux操作系統(tǒng)通常運行著多數(shù)網(wǎng)絡的后端系統(tǒng)，并為物聯(lián)網(wǎng)（IoT）設備和任務關鍵型應用程序提供基于容器的解決方案，這一特性使其逐漸成為網(wǎng)絡攻擊的熱門目標。事實上，隨著ELF Muhstik變體、RedXOR惡意軟件以及Log4j系列漏洞事件相繼將Linux視為主要攻擊目標以來，截至2021年第四季度，已發(fā)現(xiàn)的新型Linux惡意軟件簽名率，較第一季度超出4倍之多。與此同時，2021年針對ELF及其他Linux惡意軟件的檢測較往年也翻了一番。變種病毒數(shù)量及攻擊范圍的極速攀升，意味著以Linux為目標的勒索軟件正日益成為網(wǎng)絡犯罪分子武器庫中運用自如的攻擊工具。

　　勒索軟件活動更加猖獗、更具破壞性。去年以來，勒索軟件攻擊數(shù)量依然高居不下，其復雜性、侵略性及造成的負面影響必將揮之不去。威脅攻擊者還將不斷利用各種推陳出新的勒索軟件攻擊全球企業(yè)組織，并造成廣泛的破壞影響。與此同時，不法分子正蓄意更新、增強傳統(tǒng)勒索軟件，比如臭名昭著的雨刷（Wiper）惡意軟件因此卷土重來，而其他勒索軟件也在不斷升級，并采用勒索軟件即服務（RaaS）的新型運營模式。一改往日需自行創(chuàng)建惡意軟件的傳統(tǒng)攻擊形式，RaaS支持更多攻擊者大肆利用其平臺隨意分發(fā)惡意軟件。報告還發(fā)現(xiàn)，當前惡意活動越來越頻繁地捆綁多種勒索軟件組團攻擊，比如新型Phobos變種病毒、Yanluowang及BlackMatter等勒索軟件。BlackMatter勒索團伙雖然公開宣稱，不會將醫(yī)療衛(wèi)生行業(yè)及其他關鍵基礎設施行業(yè)作為其攻擊目標，但結果卻依舊痛下毒手。無論行業(yè)或企業(yè)規(guī)模如何，勒索軟件攻擊對于全球企業(yè)組織而言始終是一種威脅所在。

　　僵尸網(wǎng)絡的演變趨勢預示著網(wǎng)絡攻擊技術更加復雜。不斷升級、不斷進化的新型網(wǎng)絡犯罪攻擊技術的應用正成為僵尸網(wǎng)絡的演進趨勢。僵尸網(wǎng)絡不再以DDoS的單一體攻擊為主，攻擊者轉而利用捆綁勒索軟件在內的多目標攻擊工具等更為復雜的攻擊技術。例如，包括Mirai等僵尸網(wǎng)絡運營商在內的犯罪團伙，還將Log4j漏洞的利用整合至其攻擊工具包之中。與此同時，僵尸網(wǎng)絡活動還被追蹤到與RedXOR惡意軟件新變種有關，蓄意攻擊Linux操作系統(tǒng)，大肆搜刮和竊取數(shù)據(jù)。去年10月初，對傳播RedLine Stealer惡意軟件變體僵尸網(wǎng)絡的檢測數(shù)量也在激增，該變種利用以COVID為主題的文件開展網(wǎng)絡釣魚活動并搜尋新的目標。

　　操縱惡意軟件的網(wǎng)絡犯罪團伙熱衷于“遠程興風作浪”。對全球不同區(qū)域惡意軟件變體泛濫程度的評估表明，網(wǎng)絡犯罪分子熱衷于遠程操控的攻擊手段并不斷研究學習新的攻擊載體。值得注意的是，各種基于瀏覽器的惡意軟件廣為盛行。這些惡意軟件通常采用網(wǎng)絡釣魚誘餌、注入惡意代碼或將用戶從合法網(wǎng)站重定向至惡意網(wǎng)站等不法手段。雖然全球各地的檢測方法各不相同，但針對以下三種分發(fā)機制的利用最為廣泛：Microsoft Office可執(zhí)行文件（MSExcel/、MSOffice/）、PDF文件以及瀏覽器腳本（HTML/、JS/）。此類技術仍然是犯罪分子利用人們對全球疫情、政治局勢、運動健身及其他熱門頭條最新資訊的渴求心態(tài)，誘導受害者訪問并找到成功侵入企業(yè)網(wǎng)絡的切入點。

　　Fortinet認為守護網(wǎng)絡安全不僅要對網(wǎng)絡攻擊者了如指掌，對網(wǎng)絡攻擊目標的精準分析也至關重要，知己知彼方能百戰(zhàn)不殆。這種全局的認知有助于安全人員更好地調整防御措施以高效應對攻擊技術的快速演進。為了全面分析各種攻擊行為造成的惡意后果，F(xiàn)ortiGuard Labs通過觸發(fā)捕獲的惡意軟件樣本，分析檢測到的惡意軟件功能，追蹤惡意軟件完成整個攻擊過程所需的各個戰(zhàn)術、技術及步驟（TTP）。

　　這種高精度的威脅情報明確表明，及早部署阻擊攻擊者的防范策略是全球企業(yè)組織的當務之急，有時通過重點專注于少數(shù)已識別的戰(zhàn)術，部署相應的安全防護措施，即可事半功倍，有效阻斷惡意軟件攻擊。如下圖所示，“攻擊執(zhí)行”階段一欄中的前三種技術占整個活動的82%。而“攻擊持續(xù)”階段一欄中的前兩種技術則代表了近95%已觀察到的功能。利用此分析結果可以幫助企業(yè)組織確定其安全策略部署的優(yōu)先級，以最大限度發(fā)揮安全防護措施產生的積極影響。

　　鑒于此，面對空前的漏洞攻擊態(tài)勢，全球企業(yè)組織亟需部署人工智能（AI）及機器學習（ML）賦能的入侵防御系統(tǒng)（IPS），建立高效的補丁管理策略，并實現(xiàn)威脅情報的全面可視化，以優(yōu)先應對快速散播的網(wǎng)絡威脅，從而有效降低網(wǎng)絡的整體安全風險系數(shù)。

　　同時，面對不斷擴大的攻擊面，全球企業(yè)組織更不能厚此薄彼，應同時加強Linux的安全防護、監(jiān)控及管理，并為其部署高級自動化端點防護、檢測及響應策略。此外，還應優(yōu)先考慮網(wǎng)絡安全環(huán)境整治，以實現(xiàn)系統(tǒng)主動威脅防護，抵御那些看似低級的安全威脅。

　　而面對猖獗的勒索軟件攻擊，全球企業(yè)組織有必要變被動為主動，積極部署支持實時可見性、實時分析、安全防護及攻擊修復等優(yōu)勢功能全面集成的安全解決方案，并深度集成零信任網(wǎng)絡訪問策略、動態(tài)智能隔離及定期數(shù)據(jù)備份功能，以便構建更高效的企業(yè)防護網(wǎng)絡。

　　此外，面對空前復雜的網(wǎng)絡安全態(tài)勢，為確保本地網(wǎng)絡及應用安全，全球企業(yè)組織亟需部署零信任訪問解決方案，以支持最低訪問權限，尤其在接入網(wǎng)絡的大量物聯(lián)網(wǎng)（loT）終端和設備防護方面更應如此，還應集成自動化威脅檢測和響應功能，以實時主動檢測異常網(wǎng)絡行為。

　　尤其當前隨時隨地辦公（WFA）及混合學習模式日漸成為人們的生活常態(tài)，而惡意軟件和潛在受害者之間的防護層卻越來越薄弱。全球企業(yè)組織亟需部署高效的安全解決方案，此外，還應集成融合端點高級安全解決方案（EDR）與零信任訪問解決方案（ZTNA）。無論用戶身居何處，都能實現(xiàn)對用戶的追蹤、支持及無縫防護，以安全伴隨“隨時隨地辦公”（WFA）新模式。面對當下不斷擴展的網(wǎng)絡環(huán)境，安全SD-WAN解決方案對于廣域網(wǎng)安全連接防護也同樣至關重要。

　　總而言之，當前網(wǎng)絡攻擊呈現(xiàn)愈加復雜的發(fā)展趨勢，并加速跨越整個攻擊面發(fā)動攻擊。全球企業(yè)組織亟需部署支持協(xié)同互聯(lián)的安全解決方案，而非繼續(xù)依賴孤立運行的防護技術。防御不斷升級的攻擊技術，必然需要更加智能的解決方案，以獲取實時威脅情報、檢測和識別威脅模式和指紋、關聯(lián)海量數(shù)據(jù)以檢測異�；顒樱�并自動啟動協(xié)調響應。此外，企業(yè)組織還應摒棄傳統(tǒng)的單點產品，轉而打造以支持本地部署的多種安全解決方案實現(xiàn)集中管理、自動化和協(xié)同運行的網(wǎng)絡安全網(wǎng)格平臺，高效防御快速發(fā)展且復雜多變的網(wǎng)絡犯罪活動。